Ekim ayı sonlarında kimlik yönetimi platformu Okta, kullanıcı destek sisteminin ihlali konusunda kullanıcılarını bilgilendirmeye başladı. Şirket o sırada 18.400 müşterisinin yaklaşık yüzde 1’inin olaydan etkilendiğini söyledi. Ancak bu sabahın erken saatlerinde bu tahminin büyük ölçüde genişletilmesiyle Okta, soruşturmanın aslında şuna dair ek kanıtlar ortaya çıkardığını söyledi: Tümü İki ay önce ihlal nedeniyle müşterilerinin verileri çalındı.
Orijinal yüzde 1’lik tahmin, saldırganların sorun giderme amacıyla müşteri sistemine erişimi olan bir Okta destek hesabını ele geçirmek için çalıntı oturum açma bilgilerini kullandığı faaliyetle ilgiliydi. Ancak şirket Çarşamba günü, ilk soruşturmasında saldırganın “tüm Okta müşteri destek sistemi kullanıcılarının” adlarını ve e-posta adreslerini içeren veritabanında otomatik bir sorgu yürüttüğü diğer kötü amaçlı etkinliklerin gözden kaçtığını itiraf etti. Bu aynı zamanda bazı Okta çalışan bilgilerini de içeriyordu.
Saldırganlar isim ve e-posta adreslerinden daha fazlasını (şirket adları, iletişim telefon numaraları ve son oturum açma ve son şifre değişikliklerine ilişkin veriler de dahil olmak üzere) sorgularken Okta, “rapordaki alanların çoğunluğunun boş olduğunu ve raporun kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermez. Rapordaki kullanıcıların yüzde 99,6’sı için kaydedilen tek iletişim bilgisi tam ad ve e-posta adresidir.”
İhlalden etkilenmeyen tek Okta kullanıcıları, Amerika Birleşik Devletleri Federal Risk ve Yetki Yönetimi Programı veya ABD Savunma Bakanlığı Etki Seviyesi 4 kısıtlamalarına uyması gereken yüksek hassasiyete sahip müşterilerdir. Okta bu müşteriler için ayrı bir destek platformu sağlıyor.
Okta, olaydan tüm müşterilerin etkilendiğinin farkında olmadığını, çünkü ilk soruşturmanın saldırganların sistem üzerinde yürüttüğü sorgulara baktığını, ancak “tehdit aktörü tarafından indirilen belirli bir raporun dosya boyutunun şundan daha büyük olduğunu” söylüyor: İlk araştırmamız sırasında oluşturulan dosya.” İlk değerlendirmede Okta, saldırganların adımlarını takip etme kapsamında söz konusu raporu yeniden oluşturduğunda, “filtrelenmemiş” bir rapor çalıştırmadı, bu da daha fazla sonuç döndürebilirdi. Bu, Okta’nın ilk analizinde, araştırmacıların indirdiği dosyanın boyutu ile saldırganların indirdiği dosyanın şirketin günlüklerinde kayıtlı boyutu arasında bir tutarsızlık olduğu anlamına geliyordu.
Okta, WIRED’in, şirketin filtrelenmemiş bir rapor yayınlamasının ve bu tutarsızlığı uzlaştırmasının neden bir ay sürdüğüne ilişkin açıklama taleplerine hemen yanıt vermedi.